Первый 0-day года в Chrome

Google выкатил экстренный патч для десктопных версий Chrome. Закрыта первая в 2026 году уязвимость нулевого дня (CVE-2026-2441), которая уже активно эксплуатируется. Проблема настолько серьезная, что CISA (Агентство по кибербезопасности США) уже внесло её в свой каталог KEV и требует от госорганов срочно пропатчиться.

Суть дыры кроется в движке рендеринга Blink, а конкретно в компоненте CSSFontFeatureValuesMap. Это тот самый код, который отвечает за обработку хитровыдуманных свойств шрифтов в CSS. Уязвимость возникает когда браузер пытается использовать кусок памяти, который уже был освобожден. Атакующему достаточно заманить жертву на специально созданную HTML-страницу с правильным CSS, чтобы вызвать падение вкладки или запустить произвольный код внутри песочницы браузера.

Самое интересное видно в коммитах разрабов Chromium. Патч делали в дикой спешке, и он помечен как cherry-picked (взят из экспериментальной ветки и вручную влит в стабильную). Более того, в комментариях к коду авторы прямо пишут, что этот патч решает только непосредственную проблему, создавая снапшот карты шрифтов при итерации, чтобы не читать битые адреса. А вот глобальная починка этой архитектурной ошибки вынесена в отдельный, пока закрытый баг-репорт. То есть выкатили костыль, чтобы выиграть время.

Детали эксплойтов держат в секрете пока большинство не обновится, но доказательство концепции уже гуляет по сети. В прошлом году Chrome словил восемь таких 0-day пробивов, видимо, этот год не станет исключением.

Источник: vk.com

Комментарии: